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تھيئاتٽ جدlر‏ llأliر Firewall Configurations‏ 


+ 


مفدمه۰ 

يمكن أن تكون جدران النار (وااهس٠۴1۲)‏ وسائل فعالة في حماية أي نظام محلي أو شبكة أنظمة من 
المهددات الأمنية المعتمدة على الشبكات (sاهعإطا Network-based security‏ »في حين أنها في نفس 
الوقت تتحمل مسئولية الوصول إلى العالم الخارجي عبر شبكات Iف— (Wide Area Networks)‏ 
٠ )WA[S(‏ و كذلك عبر شبكة الإنترنت. 


على حاسب ضخم مركز ي (عه؟ ”نه 1هإ†مء) يدعم العديد من الطرفيات (واهمذصإه) 
المتصلة مباشر د 5 
الشبكات المحلية (ول۸_) › و التي تزود بربط داخلي لأجهزة الحاسوب الشخصية )۲€s(‏ و 
الطر فیات مح يعضها اليعض و کذلاک مح ال .(maıinframe)‏ 
هه الشبكة الفرضية (k)إوساعم‏ يعينصعءإ۴) » و تتكون من عدد من ال کک > و تزود بالربط 
الد ا لکل من ال (PCs)‏ و ال )serves(‏ و ربما ال (eصraگainص)‏ أو کلیھما 
k‏ 


g < (Enterprise-wide‏ تتكکون ن من العديد من ال 
(promises networks)‏ الموز عة جغر افيا و المتصلة داخلياً عن طريق شبكات الوان الخاصة 
.(Prıvate Wide Area Network)‏ 


٭ ربط الإنتر نت (Internet connectivity)‏ « و فيه تر تبط العديد (Premises networks) —I jn‏ 
عن طريق الإنترنت و هي قد تتصل أو قد لا نتصل ب .)privatِe WAN)‏ 


«(Establish a controlled link) یمکن اا به‎ YF E 

۴ يحمي ال (kاtwoعn‏ emisesامp)‏ من الهجمات المعتمدة على الإنترنںٽ ) Internet-based‏ 
.(attacks‏ 

. (single choke point) يزود بنقطة اخنتاق‎ 


:) Firewall Characteristics ) E خصائنص ا‎ 


هناك e‏ من الأهداف التصميمية ل (Firewalls)‏ یمکن سردها فيما يلي : 
1- كل عمليات المرور (ءا؟fه])‏ من الداخل إلى الخارج »و العكس »يجب أن تمر عبر ال 
(211سعآ۴). ويمكن إنجاز هذا المفهوم عن طريق المنع الفيزيائي (عمذ)ءہ1اط) لكل عمليات 
الوصول للشبكة المحلية إلا عبر ال (wa11ع۴۲).‏ 
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بالمرور. هناك أنواع عديدة من ال (Firewalls)‏ المستخدمة »و الک تنفد أنواع مختلفة من 
سياسات لسر „(security policies)‏ 

3- يكون ال )۴1۲۴۳W211(‏ ذات نفسه محصنا ضد عمليات الإختراق (١10اة١إ٤عمعم).‏ و هذا يقتضي 
إستخدام نظام موثوق به (طعاکر؟ dعtوںإآ)‏ مع نظام تشغیل آمن (.0.8 عإںcمS).‏ 


هناك أربع تقنيات عامة تستخدمها ال (ء[اهسع۴1۲) للتحكم بالوصول و تمكين سياسات السرية المعرفة من 
قبل موقع معين» و سنشرحها فيما يلي: 

1- خدمة :()Service control) pail‏ 
و هي خدمة تحدد أنواع خدمات الإنترنت (ءععءإ۷إمء اعمإمم1) التي يمكن الوصول إليها. حيث 
يقوم ال (11و س ع۴1۲) بعمل تنقية لل (ءff1هع))‏ اعتمادا على عنوان ال (1۲) و كذلك رقم ال ( 1٣۲‏ 
ortم)؛‏ او قد یزود ال )۴٣٥W11(‏ ببرمجیة (ر×٥إ۴)‏ مھمتھا استقبال و تفسیر کل طلب من 
طلبات الخدمة قبل تمریره؛ أو قد يستضيف ال )۴]۲٥W211(‏ برمجية ال (۷6۲إ٥86)‏ نفسها كما هو 
الحال في خدمات ال (اء۷) و البريد الإلكتروني (1انجةصه-ع). 

2- التحكم ڊlںتجol :(Direction control)‏ 
و هي تقنية تحدد الاتجاه الذي يمكن أن تبدأ طلبات خدمة معينة بسلوكه » حيث يسمح لها بالمرور 
عبرہ لاجتیاز ال (11اwaع۴1۲r)‏ . 

3- التحكم بالمستخدم (01 co)‏ serل):‏ 
lc O ECC N Tas‏ 
الوصول إليها. و هذه الميزة تطبق أيضا على المستخدمين الموجودين على حافة (Firewal1) —I‏ ) 
أو ما نطلق عليهم بالمستخدمين المحليين). يمكن أن تطبق أيضاً على ال (عاf۴هع))‏ القادم من 
المستخدمين الخارجيين و هنا قد يتطلب الأمر وجود تكنولوجيا التحقق الآمن. 

4- التحكمa‏ ېlkudlذdmg :(Behavior control)‏ 
و تتحكم هذه التقنية بكبفية استخدام الخدمات مثلا › قد يقوم ال (Firewall)‏ بعمل تنقية للبريد 
الإلكتروني (11ه-£) للتخلص من الرسائل الغير حقيقية » أو أن ال ( )۴1۲٥ W211‏ قد يقوم بتمكين 
الوصول الخارجي فقط لجز ء من المعلومات على خادم وب محلي. 


1- یمکن لل (11وسع۴1۲) أن يعرف نقطة اختناق (٤رزمم‏ مkمط)؛‏ و هي تحتفظ بالمستخدمين الغير 
ا 
الشبكةء و تزود بالحماية ضد الأنواع المختلفة لهجمات ال ( 1۴ ) مثل التزوير في بروتوكول 
الإنترنت (عہiگەممء )]P‏ أو تغییر مسار بروتوکول الإنترنت (عہااuاه]L‏ 1۴). إن استخدام 
)choke poin(‏ وحيدة يبسط عملية إدارة السرية (٤رءمص2ge٣aص )security‏ و ذلك لان 
إمكانيات السرية مدعومة سواءًَ في نظام وحيد أو مجموعة من الأنظمة 
زود ال(11ھے )۴İ1۲r ew‏ بمو ة : 1 
الحسابات (ء٤زلں۸)‏ و كذلك اجر اس الإنذار (وسإھا۸) على نظام ال (W211ع۴۲).‏ 
3- بعد ال ([1وسwع۲إ۴)‏ ببئة ملائمة للعدبد من و ظائف الإننثر نت (Internet functions)‏ ا 


علاقة بالسرية. من الأمثلة على ذلك . 
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*مترجم عنوان الشبكة (إoاھاوصھا† Network address‏ »و الذي یربط في شکل جدول كلا 
من العناوين المحلية (sعووعإ‏ للج 1اcaما(‏ و عناوين الإنترنت „(Internet addresses)‏ 
* و وظيفة إدارة الشبكة (م0ن†عرu؟ Network management‏ »و التي تقوم بالمراجعة أو 
التدقيق و الدخول في استخدام الانترنت. 
¿ ان يعمل ال (11ھسع۴1۲) كبيئة 
(eل0ص )٣ nne‏ الذي شرحناه في er‏ السادس يمكن لل (11هس۴1۲۴) تنفيذ شبكة إفتراضية 
خlصة „(Virtual private network)‏ 


ل الانترنت )]۲P٥٥c(‏ . حیث أنه باستخدام ال 


الأنظمة TOT‏ خاصية ال ا (Dial-‏ للاتصال e‏ خدمة الإنترنت (ISP)‏ پمکن أن تدعم 
شبكة ال )_~NN(‏ الداخلية ب (01مم ٣إعله0م)‏ للتزويد بخاصية ال (م1-1ه51) للموظفين المتنقلين. 
2- لا یزود ال (11اوسع۴1۲) بالحماية ضد المهددات الداخلية › متال على ذلك الهجمهات ا يتعاون 
الموظفون الساخطون من داخل المؤسسة مع مهاجمين خارجيين. 
3- : و د ال (11وwع۴۳]۲)‏ بالحمابة ضد انتقال اأد امد ا الملفات المعدبة بالفيروسات. و قد يكون من 


غير العملي و ريبما من المستحيل e‏ ا (Firewall)‏ أن يفحص كل الملفات و الإيميلات »و 
الرسائل القادمة من أجل التأكد من وجود فيروسات > و لعل السبب في ذلك وجود العديد من أنظمة 
التشغيل و التطبيقات المدعومة داخل نطاق ال .(Firewall!)‏ 


أنو اع جدران lilر :(Types of Firewalls)‏ 
هناك تلاثة أنواع شائعة من جدران النار» وهي : 


1. مسیرات aii‏ |lحj‏ م .(Packet-filtering routers)‏ 
2. بوابات المستو ى التطبيقي .(Application-level gateways)‏ 
3 بوابات على مستو ی لدائر 5 .(Circuit-level gateways)‏ 


تقوم م بتطبيق' ا من القو اعد على کل ET (IP n‏ و من تم إرسال هذه ال (packet)‏ 


- يتم تهيئة ال (۲عاںه) بحيث يقوم بعمل تنقية لل (و٤ع)ءهم)‏ المرسلة في كلا الاتجاهين ( من و إلى 
الشبكة الداخلية (. 


- تعتمد قواعد التنقية (sعاںآ‏ عمذإ)۴1) على مطابقتها لبعض الحقول في ال (إملهعط 1۲) و ال 
CP he2de1(‏ ۲)» حیث یتم نداء تلك ال (rule)‏ لتحديد فيما إذا كان يجب إرسال ال (e)عهم)‏ أو 
لتخلي عنها E‏ 
عنوان بروتوکول الانترنت ار „(source IP address)‏ 
٤‏ عنوان بروتوكول الانترنت لأوجھة „(destination 1P address)‏ 
3 حقل بروتوکول الانترنت (14ع1؟ 1امءهماهإم 1۴) »و هذا الحقل يعرف بروتوكول النقل 
Transport protocol)‏ (. 
4. رقم ال (۲۲هم) لد )1٣۴(‏ أو لد (05۲))» و هو یعرف التطبیق مثل بروتوکول SNN‏ 
و .TELNET‏ 
- إذالم يكن هناك أي تطابق مع أي (عءانع)» فسيتم حينها إتخاذ حدث إفتراضي (« 10اه {اfauعd)ء‏ 
هناك سیاستان افتر اضیتان ممكنتان هما: 
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1. سياسة التخلي (لإهaءوال‏ = ٤اuةمل)‏ : و تعني ما لم يسمَح له بشكلٍ واضح فإنه يمتع. 
2. سياسة الإرسال (۲w2۲dه0؟‏ = ااسهfعل)‏ : و تعني مالم يمتع بشكلٍ واضح فسیيتم السماح 
له. 


- محافظة أكثر» حيث يتم عمل (عمن)ءه1ط) لكل شئ و يجب إضافة الخدمات على قاعدة (-ميهء 
.(by-case‏ 
- مرئية أكثر بالنسبة للمستخدمين» حيث من الراجح انهم يرون جدار النار كالعائق. 


- تزيد من سهولة الاستخدام بالنسبة ل (موں أ١ء).‏ 
- يمنح سرية اقل. 


2 AAVARTAgES. OL. LACKEL-EHLELINg, ROU EE TT 
„(Transparency to USES) jيnدختسملل الشفافية بالنسبة‎ - 
.(High speed) السرعة العالية‎ - 


mmm RRRNRNRRNRNRRRNRNGPHNNNHNNNRNRNNNNNNNNNNNNNRNRNNNNNNNNNRNNNNRNNNNNNKENNNNNNNNNNNNNNNNANNNRNRNNHNNNRNNNRREHNRNRNNRRNRNRNRNENNNNNNNRNREHNNEHNNRNNNNN 
0 


«(Difficulty of setting up packet filter rules) ةa صعوبة وضع قو اعد ية لحز‎ - 
«(Lack of Authenticati0”) ةيققحتll نقص‎ - 


Security Perimeter 


| 
: : 
Internet Private | 
Network 
Packet’ | 
filtering = = == === 
router 
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- يقوم الدخيل (ءلu٣)م)‏ بإرسال ال (واء)عهم) من الخار ج بحيث يحتوي حقل ال ( 1۲ source‏ 
م ) على عنوان ٤وهط‏ داخلي. 

- يطمح ال إم)ءه))ه أن يكون استخدامه للعنوان المزور سيسمح له باختراق الأنظمة التي تكون فيها 
سرية بسيطة على | .(source address)‏ 

- و الإجراء المضاد کی هذه الحالة هو ااتكلسن عن اأ (packets)‏ التي تحتوي غل ) source‏ 
85م) داخلي في حال أن هذه ال (٤ء)عهم)‏ قادمة من (ءعو؟إم)م]) خارجية. 


الهجمة الثانية : هجمات تسير المصدر ‘(Source routine attacks)‏ 


- تقوم ال («٥10اهاء‏ عءإuمء)‏ بتحديد المسار الذي يجب على ال (ء)ءهم) سلوكه عند مرورهافي 
الإنترنت» على أمل أن ذلك سيتجاوز إجراءات السرية التي لا تقوم بتحليل معلومات تسيير ا 
.(SOUrCE)‏ 

- الإجراء المضاد في هذه الحالة هو الخلى عن كل ال (packets)‏ الى تستخدم هذا الخيار . 


الهجمة الثالثة : هجمات الجز ء الصغير جدÎ ‘(Tiny fraement attacks)‏ 


- يستخدم ال (إعلuآامi)‏ خيار تجزئة ال 1۲ (م10oاop )1P fragmentation‏ و ذلك بغرض تولید 
)fragments(‏ صغیيرة جداً « و جعل معلومات (TCP header) —d|‏ في (packet fragment)‏ 
تفت 


- هذه الهجمة صممت لمراوغة قواعد التنقية (وعاںا ٤اا‏ )]۴1) و التي تعتمد على معلومات ال 
.(TCP header)‏ 

- يطمح ال )Attack er)‏ أن ال )۴]tering router)‏ سیقوم فقط باختبار ول (۲٣٥۳عھ۲)‏ بینما 
ستمر بقية ال (sأارعدصعهf۲)‏ دون اختبار. 

- الإجراء المضاد في هذه الحالة هو التخلي عن كل (packets) I‏ التي يكون نوع البروتوكول فيها 
هو ال )]٣۲(‏ و ازاحة ال (۲رعمصعه۲؟ 1۲۴) له مساوية للواحد الصحيح. 


- يسمی آيضا بال (۲ع۷إمء ر×هإم) و يعمل كناقل لمرور المستوى التطبيقي ) Application-1eve]‏ 
„(traffic‏ 

- يتصل المستخدم باد (وھ س٥‏ )هع) باستخدام تطبیق من تطبیقات ال (۲/1۲٣۲)ء‏ مثل ال (عہ۶1٣)‏ 
أو .(FTP) I‏ 

- تطلب ال (ووسعهع) من المستخدم إدخال اسم ال (٤5هط)‏ البعيد المراد الوصول إليه. 

- عندما يستجيب المستخدم بتزويده لل (15إءءل) و معلومات التحقق الصحيحة» فإن ال 
(وج سء اهع) تتصل بالتطبيق الموجود على ال (٤ءهط)‏ البعيد و تتقل أجزاء ال )]٣۲(‏ التي تحتوي 
E E‏ 

ا لم تقدم ال (gateway)‏ شفرة ال (proxy)‏ لتطبيق محدد » فان الخدمة لن تكون مدعومة و لن 
یتم إرسالھا عبر ال (wa11ع٣۴).‏ 
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اپا بو ابات المستوي التطببقي.)وgateway :(Adyantages, of. Applicçation-leyel.‏ 
- أكثر سرية من الو ع lwllبJ «(Higher security than packet filters)‏ 
- يحتاج فقط للفحص الدقيق للقليل من التطبيقات المسموحة) Only need to scrutinize a few‏ 
.(allowable applications‏ 
- من السهل تسجيل و تدقيق كل المرورات القادمة ) Easy to log and audit all incoming‏ 
„(traffic‏ 


Additional processing overhead on each ( الحاجة إلى زيادة معالجة إضافية لكل إرتباط‎ - 
„(connection (gateway as splice point) 


A pplication-level 


gateway 
CFurtside 
caonecion 
.)Circuit-leyel gو)مسwورو( النوع الثالث : بوابات على مستو ي الدائر,ة‎ 


- يمكن أن يكون هذا النوع نظاماً مسنقلاً (ءاورء 0٥٥اه-له†ي)‏ أو وظيفة مخصصة 
la jاجنإ pis (specialized function)‏ ڊو lسطة .(Application-level Gateway)‏ 

± ل يسمح بارتباطات ال «(end-to-end TCP)‏ و بدلا عن ذلك يفقوم بوضع اثنين من ارتباطات ال 
:)TCP)‏ 
أحدهما بين ال (رهسهع) نفسها و مستخدم ال (1۳۲) على ال (٤١0ط)‏ الداخلي. 
و الآخر بين ال (رهسه)هع) نفسها و مستخدم ال (1۳۲) على ال (051ط) الخارجي. 

- عندما يتم إنشاء هذين الارتباطين فإن ال (yجwع)هع)‏ ستقوم بنقل ال (یارعہععمء ٥۴‏ 1€) من 
ارتباط إلى أخر دون فحص المحتويات. 

- تكون وظيفة السرية هنا هي تحديد أي من الاتباطات سيسمح لها. 

- يستخدم هذا النو ع في حالة أن يكون مدير النظام واثقا من المستخدمين الداخليين. 

- من الأمظة عليه أ „(SOCKS package)‏ 


Circuit-level 
gateway 


Chutside 
connection 


(n) 
Oiitside host (In, 


Inside 


OO 
2 


Inside host 
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مضيف الحصن (٤ی0ط‏ ہBasti0o):‏ 
- و هو نظام معرف من قبل مدير ال (11هس١۴1۲)‏ كنقطة حرجة قوية في سرية الشبكة. 
- يعمل (Bastion host) —I‏ كبيئة لي من circuit-) I gİ (application-level gateway) —I‏ 
.(level gateway‏ 


اعداد جدlر‏ lأliر :(Firewall configuration)‏ 
- بالإضافة إلى استخدام التهيئة البسيطة لنظام وحيد ) single packet filtering router Or‏ 
gateway‏ eاعsin)»‏ فإن هناك أنواع تهيئة أكثر تعقيداً. 
- سنتطرق هنا إلى أكثر ثلاثة تهيئات شيوعاً: 


- یتکون ال )۴1۲٥W211(‏ من نظامین : 
.(packet-filtering router) d (*)‏ 
„(Bastion host) d (*)‏ 
- يتم تهيئة ال (1عااه) بحيث : 
1. فيما يخص ال (ءff1هم))‏ القادم من الانترنت › يسمح فقط لل (ء)عء)ءوم 1۴ المخصطصة لل 
.(Bastion host)‏ 
2. فيما يخص ال (ء1؟؟هء)) من الشبكة الداخليةء يسمح فقط لل (وام)عءوم 1۴ القادمة من ال 
„(Bastion host)‏ 
- تقوم — (Bastion host)‏ بlنجjl‏ عمlيlٽ‏ آ «(proxy functions) Î s (authentication)‏ 
- السرية هنا أفضل مما هو عليه الحال في ال (و0اهإuعاگمرهء‏ ماعماء) و ذلك لسببين: 
application-) lI s (packet-level filtering) —| jn Î hفis‎ (configuration) I ù jÎ .1‏ 
)1eve1 tering‏ و يسمح بالمرونة عند تعريف سياسة السرية. 
2. یجب على ال (إملں۲)م) بشكل عام أن يخترق نظامين منفصلين. 
- أيضا تتو افر هنا المرونة في تزويد الوصول المباشر إلى الإنترنت ( خادم المعلومات العام » مثل ال اعس 
„(server‏ 
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لا يفضح ال )packet-filtering rou )er(‏ بشكل كامل. _ 
- يجب أن يتدفق ال (ء§#هع)) بين الانترنت و ال (واومط) الأاخرين في الشبكة الخاصة عبر ال ( یج8 


.(host 
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:(Sereened-subnet firewall system) التھيئة الثالث_: ا‎ 


أكثر الثلاثة ال (وو 1٤ھ‏ ںعتگمهء) أمناً. 
- يتم استخدام ja jûl‏ آ .(packet-filtering routers)‏ 
- يتم توليد شبكة جزئية (kإهساعط-طاuء)‏ معزولة. 
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مزايا هذا النوع : 

يوجد ثلاثة مستويات من الحماية لإحباط ال (وإعإntru(.‏ 

يعلن ال (۲عاuهع)‏ الخارجي في الانترنت فقط عن وجود ال (٤عرطاuء‏ dعمععإعء)»‏ بمعنى أن 
الشبكة الداخلية تكون غير مرئية على شبكة الانترنت. 


¢» 


يعلن ال (1عاںهع) الداخلي في الشبكة الداخلية فقط عن وجود ال (اعمطاuء‏ 4٥ع,ءعإءي)»‏ بمعنى أن | لا 
اة عل ا لاخ ١‏ مک لن نے مسا تافر لے ك ارت E"‏ 
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